Od bezpieczeństwa informacji do bezpiecznej firmy Metodyka SABSA Tomasz Bejm, Aleksander Poniewierski
Ryzyko systemów informatycznych Fakty Citigroup utracił dane i historie transakcji prawie 4 milionów swoich klientów TJX amerykańskiej firmie zostały wykradzione numery kart kredytowych ponad 96 milionów klientów według wyliczeń firmy atak kosztował ją blisko 250 milionów dolarów W 2007 roku 88% amerykańskich firm doświadczyło co najmniej jednego incydentu związanego z bezpieczeństwem* Przeciętna firma w USA pada ofiarą 140 incydentów rocznie* 93% firm, które w wyniku katastrofy tracą dane, przestaje istnieć w ciągu 5 lat** 140000 120000 100000 80000 60000 40000 20000 0 6 1988 132 1989 252 1990 406 1991 773 1992 1334 1993 2340 1994 2412 1995 2573 1996 2134 1997 3734 1998 9859 1999 21756 2000 52658 2001 82094 2002 137529 2003 * zgodnie z badaniami CSI Computer Crime and Security Survey ** zgodnie z badaniami US Labor Dept Liczba incydentów zgłoszonych do CERT/CC w latach 1988 2003
Ryzyko systemów informatycznych Podejścia do zapewnienia bezpieczeństwa* Podejście techniczne Opracowywanie i wdraŝanie konkretnych rozwiązań technicznych Pogoń za zmianami technologicznymi i rosnącą liczbą nowych rodzajów ryzyka Podejście zarządcze Ludzie są największym źródłem zagroŝenia dla informacji sabotaŝyści pracownicy ze zbyt duŝymi uprawnieniami pracownicy nie zaznajomieni z zasadami z ochrony informacji Tworzenie struktur odpowiedzialnych za zarządzanie bezpieczeństwem informacji (obecnie 82% firm posiada taką scentralizowaną strukturę)** Podejście instytucjonalne Standaryzacja bezpieczeństwa systemów informatycznych oraz budowa i wdraŝanie systemów zarządzania bezpieczeństwem informacji poprzez wykorzystanie uznanych norm i standardów Certyfikacja rozwiązań bezpieczeństwa Promowanie kultury bezpieczeństwa informacji w obrębie firmy Ład bezpieczeństwa informacji Bezpieczeństwo informacji jako systematyczna ochrona tych danych, które są najwaŝniejsze z punktu widzenia ich wpływu na osiąganie celów biznesowych organizacji Traktowanie bezpieczeństwa informacji jak strategicznego aspektu egzystencji firmy * Prof. Basie von Solms, Information Security the third wave?, Computer and Security, 19 (2000),s. 615-620 ** Security Survey 2007
Model wdraŝania i zarządzania mechanizmami bezpieczeństwa Sprzeczne cele wdraŝania mechanizmów bezpieczeństwa Architektura bezpieczeństwa Zestaw zasad, zaleceń, wzorców i standardów z zakresu bezpieczeństwa wraz z opisem ich wzajemnego powiązania w odniesieniu do uwarunkowań biznesowych Bezpieczeństwo Cele Kontrola kosztów UŜyteczność Odejście od koncepcji standardowego podejścia analizy poszczególnych obszarów Analiza bezpieczeństwa według łańcucha wartości Analiza bezpieczeństwa z perspektywy poszczególnych procesów biznesowych Ewolucyjne podejście do przeprowadzania zmian
Architektura bezpieczeństwa SABSA (1/4) SABSA (Sherwood Applied Business Security Architecture) przedstawia całościowe podejście do zarządzania usługami i architekturą Bezpieczeństwa w przedsiębiorstwie SABSA jest wykorzystywana przez wiele organizacji na świecie do budowy architektury bezpieczeństwa przedsiębiorstwa i zarządzania usługami. SABSA została wykorzystana przez Ministerstwo Obrony Narodowej Wielkiej Brytanii do stworzenia Architektury Zapewnienia Informacji Bezpieczeństwa Metodyka SABSA jest zgodna z następującymi standardami: ITIL / ISO 20000 ISO 27001 / 17799 CobiT BS 15000 / AS 8018
Architektura bezpieczeństwa SABSA (2/4) Całościowe podejście do zarządzania usługami i architekturą bezpieczeństwa w przedsiębiorstwie opiera się na sześciu warstwach*: kontekstową, obejmującą umiejscowienie Bezpieczeństwa i jego roli w Biznesie koncepcyjną, zawierającą wysokopoziomowy opis Bezpieczeństwa Strategię Bezpieczeństwa logiczną, zawierającą model organizacji, model przepływu informacji i Politykę Bezpieczeństwa fizyczną, opisującą procedury, mechanizmy, platformę i infrastrukturę sieciową komponentową, obejmującą bezpośrednie narzędzia wdroŝenia Bezpieczeństwa standardy, protokoły, certyfikaty operacyjną, warstwę spinającą pozostałe warstwy w codziennym funkcjonowaniu organizacji Bezpieczeństwo aplikacji, sieci, pomoc techniczna Warstwa operacyjna * Warstwowy model architektury bezpieczeństwa opracowany został na bazie siatki Zachmana
Architektura bezpieczeństwa SABSA (3/4) Rozpatrywane aspekty architektury bezpieczeństwa według metodyki SABSA: Co próbujemy chronić? aktywa chronione przez architekturę bezpieczeństwa Dlaczego to robimy? motywacja do podejmowania działań Jak to robimy? wykonywane działania Kto to wykonuje? aspekty organizacyjne Gdzie podejmujemy działania? obszary, w których podejmowane są działania Kiedy podejmujemy działania? aspekty czasowe podejmowanych działań Te pytania i warstwowy model architektury bezpieczeństwa tworzą siatkę modelu SABSA
Sprawdzenia uzasadnienia aspektu bezpieczeństwa Architektura bezpieczeństwa SABSA (4/4) Proces projektowania architektury bezpieczeństwa polega na rozwaŝeniu aspektów w poszczególnych warstwach macierzy SABSA Zwiększenie poziomu szczegółowości aspektu bezpieczeństwa